’n POPI om nie sonder handskoene aan te pak nie

Nico Vermaak, bestuurder: Korporatiewe Dienste, Graan SA
Gepubliseer: 5 Augustus 2020

2464

Onlangs vertel ’n produsent my van die voorval waar ’n diensverskaffer sy persoonlike inligting asook dié van ander kliënte in ’n gesamentlike rekeningstaat uitgestuur het. Al die kliënte se private inligting, soos woonadres, kontaknommer, die bedrag uitstaande asook die dienste wat verskaf is, is met al die kliënte van die diensverskaffer gedeel.

Die gevolg was dat vertroulike besigheidsinligting skielik aan die wasgoedlyn opgehang is. Dit het natuurlik vir ’n klompie rooi gesigte gesorg. Dalk was dit die diensverskaffer se strategie om groepsdruk op wanbetalers te plaas. Wat ook al die bedoeling, die nuus het soos ’n veldbrand versprei.

Somtyds word ’n oproep uit die bloute ontvang – met ’n spookstem wat ’n polis of ’n databondel probeer verkwansel. Of oproepe van regte mense wat eers wil weet hoe dit gaan, maar voordat jy kan antwoord, begin vertel van ’n produk of diens wat teen ’n baie spesiale prys – net vir jou – beskikbaar is. Voor die verkiesing verlede jaar is ieder en elk gebombardeer met oproepe en boodskappe om vir hierdie of daardie party te stem.

Die vraag is waar hulle jou nommer kry. En of dit wettig is om goedere of dienste op hierdie wyse aan te bied.

POPI-wetgewing
Die POPI-wetgewing, (Protection of Personal Information) – Wet Nr. 4 van 2013, is reeds in November 2013 deur voormalige president Jacob Zuma onderteken. Op 11 April 2014 is sekere gedeeltes van die wet geaktiveer deur Proklamasie Nr. R25 van 2014.

Alhoewel die finale afkondiging van die volledige wet en re­gulasies met verskeie geleenthede uitgestel is, het president Cyril Ramaphosa egter onlangs afgekondig dat die wetgewing vanaf 1 Julie 2020 van krag sal wees.

Die implementeringsdatum is vir almal belangrik, aangesien daar ’n grasieperiode van twaalf maande vanaf die datum van afkondiging verleen word om aan die vereistes van die wetgewing te voldoen.

Waaroor gaan dit?
Die POPI-wetgewing bied ’n raamwerk van regte en verpligtinge vir die beskerming van persoonlike inligting. Dit bied egter ook ’n balans vir die legitieme invordering en verwerking van persoonlike inligting vir besigheids- of ander doeleindes. Die wetgewing reguleer hoe persoonlike inligting bekom en beskerm moet word.

Hierdie wet is van toepassing op enige instansie met hul domicilium in Suid-Afrika, wat enige rekord met persoonlike inligting bestuur. Dit reguleer die verwerking van persoonlike inligting, wat insluit die insameling, ontvangs, opname, organisering, gebruik en verspreiding asook die bekendstelling van sodanige inligting. Die wetgewing is ook van toepassing op rekords wat reeds voor die inwerkingtreding van die wet in besit van die verantwoordelike party was.

Wat is persoonlike inligting?
Die definisie in die POPI-wet omskryf persoonlike inligting as inligting van toepassing op beide lewende, natuurlike persone (Jan en San Alleman) asook inligting van bestaande regspersone (maatskappye, besighede of ander regsentiteite).

Persoonlike inligting sluit in, maar is nie beperk nie tot:

  • ras, geslag, huwelikstatus, nasionale of etniese afkoms, kleur, seksuele oriëntasie, ouderdom, fisiese of geestesgesondheid, geloof, gebrek, oortuiging, kultuur, taal of geboorte;
  • opleidings-, mediese, finansiële, kriminele of loopbaanrekords;
  • identiteitsnommer, e-posadres, fisiese adres of telefoonbesonderhede;
  • enige biometriese inligting;
  • persoonlike menings of voorkeure van persone;
  • korrespondensie op ’n vertroulike basis;
  • die menings van ’n ander persoon oor ’n individu; asook
  • die naam van die persoon, indien dit persoonlike inligting van die persoon sou openbaar.

Hierdie is ’n bondige samevatting van die definisie en vervat nie alle omskrywings van wat as persoonlike inligting geag word nie. Dit is bykans net die gewig van ’n persoon wat nie in die definisie as persoonlike inligting omskryf word nie.

’n Nuwe burokrasie
Die eerste aanstellings vir die nuwe Inligtingsreguleerder is reeds op 1 Desember 2016 gemaak en die volgende persone is vir ’n vyfjaarperiode tot 1 Desember 2021 as voltydse lede aangestel:

  • Advokaat Pansy Tlakula (voorsitter)
  • Advokaat Lebogang Stroom-Nzama, verantwoordelik vir die Wet op Bevordering van Toegang tot Inligting (Promotion of Access to Information Act – PAIA)
  • Advokaat Collen Weapond, verantwoordelik vir die Wet op Beskerming van Persoonlike Inligting (Protection of Personal Information Act – POPIA)

Die hoof van die Inligtingsreguleerder word deur die president aangestel en is aan die Nasionale Vergadering verantwoordbaar. Personeel en kundige persone kan vir die kantoor van die Inligtingsreguleerder aangestel word en uitgawes van die reguleerder sal deur die Nasionale Tesourie befonds word.

Volgens Artikel 50 is die reguleerder by magte om ’n afdwingingskomitee aan te stel ten einde voldoening aan wetgewing af te dwing. Verder is die reguleerder by magte om boetes aan oortreders uit te vaardig in gevalle waar persone of entiteite aan oortredings skuldig bevind word. ’n Boete of selfs tronkstraf van nie meer as tien jaar nie, of beide, kan in ernstige gevalle opgelê word. Vir minder ernstige oortredings word ’n boete of tronkstraf wat nie twaalf maande oorskry nie, of beide, voorsien. Dit blyk dus dat dié POPI tande het.

Waaraan moet voldoen word?
Die wet bied voorskrifte waarvolgens persoonlike inligting van beide natuurlike en regspersone ingesamel en verwerk moet word.

Elke natuurlike persoon is ingevolge die wet ’n data subject (betrokkene). Artikel 11 bepaal dat persoonlike inligting slegs met die toestemming van die betrokkene ingewin en verwerk kan word.

Die wetgewing is egter nie van toepassing op persoonlike inligting vir huishoudelike aktiwiteite nie. Uitsluitings is ook van toepassing vir openbare entiteite wat inligting insamel vir doeleindes van nasionale veiligheid.

Alle persone en instansies wat persoonlike inligting insamel, verwerk of op rekord hou, moet stappe doen om enige verlies of ongemagtigde toegang tot persoonlike inligting te voorkom (Artikel 19). Maatreëls moet in plek gestel word vir die beveiliging van datastelsels, beide deur fisiese toegangsmaatreëls sowel as sekuriteitsreëlings vir inligtingstegnologie. Dit is daarom noodsaaklik dat sekuriteitsmaatreëls op die organisasie se bediener op datum bly.

Direkte bemarking deur elektroniese skakeling
Artikel 69 van die wet verbied direkte bemarking deur middel van elektroniese skakeling, tensy die persoon aan wie bemark word toestemming daartoe verleen het. Elektroniese bemarking sluit SMS’e, e-posse of elektroniese oproepstelsels waardeur dienste of goedere bemark word, in. Persone kan genader word vir toestemming om elektroniese bemarking te ontvang. ’n Persoon kan egter slegs eenmalig vir sodanige bemarking genader word – indien toestemming geweier word, is dit ewigdurend.

Die reëls is effens anders wanneer die persoon reeds ’n kliënt van die bemarker is. Die kliënt se kontakbesonderhede moet deur die koop en verkoop van die betrokke goedere of dienste bekom word. Die bemarker moet aan ’n persoon die opsie bied vir weie­ring van die bemarking van die produk of diens deur byvoorbeeld ’n staakkeuse uit te oefen.

Enige persoon of instansie wat deur direkte elektroniese bemarking met verbruikers of die publiek skakel, moet die identiteit en adres van die adverteerder openbaar, aan wie die verbruiker dan ’n versoek kan stuur dat die betrokke bemarking gestaak word.

Stappe om te doen
Sekuriteitsmaatreëls moet in plek gestel word vir die bestuur van data en rekords. Data met persoonlike inligting moet geïdentifiseer word en waar nodig moet toegang tot hierdie inligting met wagwoorde beheer word.

Dit sal raadsaam wees om ’n elektroniese opsie in bemarkingsaksies te aktiveer waardeur die keuse aan verbruikers gebied word om die bemarkingskakeling te staak.

Verder sal dit loon om voorsiening in begrotings te maak vir die implementering van maatreëls om aan POPI-wetgewing te voldoen – hetsy vir opleiding en bewusmaking van personeel of die opgradering van sekuriteitsmaatreëls. Daar moet ook onthou word dat rekords met persoonlike inligting (hetsy elektronies of in harde kopie) met inagneming van toepaslike wetgewing na ’n sekere periode vernietig moet word. Dit moet op so ’n wyse geskied dat persoonlike inligting nie weer daaruit herwin kan word nie. Die vernietiging van rekords kan ’n koste-implikasie hê.

’n Werkgewer moet skriftelike toestemming gee waarin die mandaat bevestig word dat werknemers wat persoonlike inligting bestuur of hanteer, behoorlik daartoe gemagtig is. Die betrokke personeel moet die nodige stappe doen om die integriteit en vertroulikheid van persoonlike inligting binne die databasis te handhaaf. Indien lekkasie van inligting plaasvind, moet die werkgewer en die Inligtingsreguleerder daarvan ingelig word.

In terme van Artikel 17 sal van entiteite verwag word om ’n inligtingsbeampte aan te stel, ten einde te verseker dat aan die rig­lyne van die wetgewing voldoen word. Dit word verder aanbeveel dat ’n POPI-komitee aangestel word om die veiligheidsmaatreëls binne die organisasie te fasiliteer.

Afsluiting
Die grootste risiko vir entiteite wat persoonlike inligting bestuur, is egter die reputasieskade indien hulle databasis gekraak sou word. Die desperate pogings van ’n maatskappy soos Liberty Holdings in 2018 om vertroue te herstel nadat inligting uitgelek het, is ’n vroeë waarskuwing aan alle entiteite om hul sekuriteitsmaatreëls vir databestuur te verskerp.

Erkenning aan Miltons (regsfirmawebtuiste), Michalsons (regsfirmawebtuiste), Hambisana (maatskappy-oorsig) en Best Info Solutions.